【星岛综合报道】网路订购商品是不是要担心信息全都露呢?在沃尔玛网路商城(Walmart.ca)订了东西后,可以发现客户的姓名、运送和帐单地址、订单日期、付款方式以及所使用的信用卡的最后四位数字都完整展示出来,等于是轻松地泄漏了个人机密信息。
CTV报道,无论是在安省订购一台1,500元的笔记本电脑,或在沙省订一台700元的自行车,或在卑诗省买婴儿用品,结果都是一样,每个客户的资料都已经摊在阳光下。
巴蒂亚(Sanjay Bhatia)是沃尔玛的网路订购客户,他偶然发现该公司的网购系统存在安全专家所说的高度敏感数据暴露漏洞,从事IT工作的他觉得这太离谱了。「这是一个巨大的漏洞。我被吓坏了,非常生气,因为,我的东西都在网上。没有人希望自己的讯息就那样摆在那里让人看。」
CTV透过巴蒂亚的说明,果然能够轻松地在沃尔玛网站上透过一些步骤就调集到全国大量的客户订单,但在亚马逊的网站上(Amazon.ca)尝试了类似的步骤,却没有客户敏感信息被曝光。
Walmart.ca上显示的信息包括完整的客户名称、帐单邮寄地址,无论产品是送货到家庭地址还是沃尔玛在店内取货。还可以查看订单是否使用Visa、Mastercard、Amex或PayPal付款。
CTV向沃尔玛联系后,可用于访问个人信息的网页已重定向到用于网路购物的「联系我们」页面。
但是巴蒂亚发现仍然可以通过Walmart.ca上的另一个相关网页访问客户信息,CTV查询后,该页面随后也被禁用。
沃尔玛发言人格拉希尼克(Adam Grachnik)在一封电子邮件声明中说:「我们非常重视客户隐私,并制定了许多安全协议来保护它。今天这个问题引起我们的注意,出于谨慎考虑,我们立即禁用了该网页。我们正在进一步调查此事。」
网络安全专家史蒂文斯(Yuan Stevens)认为这种数据泄漏的安全漏洞并不罕见,已出现在Open Web Application Security Project(OWASP)2017的十大常见网站安全风险列表中。
史蒂文斯也是漏洞赏金计划的专家(公司会激励人们发现系统中的漏洞),他指出,沃尔玛不太激励道德黑客为公司寻找安全漏洞,依照该公司规定,如果有人发现漏洞,「可能有资格获得赏金」。相比之下,亚马逊的激励措施很明确,根据发现的漏洞的严重程度,支付的赏金费用从100元到15,000元不等。
据openbugbounty.org称,2017年有人在沃尔玛的墨西哥网站上发现漏洞后,公司花了6个月的时间才修复好。黑客公司Hackerone的数据显示,亚马逊的响应和解决问题的速度快多了,平均时间为22天。
史蒂文斯认为沃尔玛对网路工程的重视度远不如亚马逊,它不激励民众发现漏洞,又要花很长时间才修补好问题。在应用程序安全性测试的immuniweb.com上,沃尔玛安全性评价为B,得分在60到69之间,相比之下,Amazon.ca为A,得分在90到99之间。
史蒂文斯说,如果网站上存在多个弱点,黑客可以透过漏洞,从而给公司或网站用户带来更大的风险,这些风险包括身份欺诈、欺骗个人身心理或造成财务伤害。
图:CTV
v01
